3 скакуна, несущих информационную безопасность вперед...

3 скакуна, несущих информационную

безопасность вперед и стратегия

Cisco по их обузданию

Лукацкий Алексей

alukatsk@cisco.com

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.

3 скакуна информационной безопасности

Угрозы

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.3

Глобальный

рынок кибер-

преступности:

$450B-$1TБанковский аккаунт>$1000

зависит от типа и баланса

$

DDoS as a Service

~$7/час

DDoS

Медицинские записи>$50

Мобильное ВПО$150

Разработка ВПО$2500

(коммерческое ВПО)

SSN$1

Аккаунт Facebook$1 за аккаунт с 15 друзьями

Данные кредиток$0.25−$60

Спам$50/500K emails

Эксплойты$100k-$300K

Как хакеры зарабатывают деньги?

Время обнаружения вторжений очень велико

Bitglass

20

5

Trustwav

e

188

Mandiant

229

2287 дней – один из

самых долгих

инцидентов в 2014-м

году

Ponemon

206

HP

416

Symantec

305

Один пример: эксплойт-кит Angler

Постоянные обновления увеличили уровень проникновения Angler до 40%

В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная

система

Уязвимости Flash

Смена цели

AnglerНепрерывное забрасывание

«крючков в воду» увеличивает

шанс на компрометацию

Социальный

инжиниринг

Сайты-

однодневки

TTD

Меры

защитыБлокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

Изменение в поведении атак

Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад

и обход защитных механизмов

Скорость

Дополнительная информация

AMP + FirePOWER

AMP > управляемая защита от угроз

В центре внимания Cisco — анализ угроз!

Приобретение компании

Cognitive Security• Передовая служба исследований

• Улучшенные технологии поведенческого

анализа в режиме реального времени

2013

2015...2014

Приобретение компании Sourcefire Security• Ведущие в отрасли СОПВ нового поколения

• Мониторинг сетевой активности

• Advanced Malware Protection

• Разработки отдела по исследованию уязвимостей (VRT)

• Инновации в ПО с открытым исходным кодом (технология OpenAppID)

Приобретение компании

ThreatGRID• Коллективный анализ вредоносного

кода

• Анализ угроз

Коллективные исследования Cisco –подразделение Talos по исследованию и анализу угроз• Подразделение Sourcefire по исследованию уязвимостей — VRT

• Подразделене Cisco по исследованию и информированию об угрозах — TRAC

• Подразделение Cisco по безопасности приложений — SecApps

Cognitive + AMPКоллективный анализ вредоносного

кода > Система коллективной

информационной безопасности

СОВРЕМЕННЫЕ АЛГОРИТМЫПоведенческие алгоритмы

САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДАТеория игр и само-оптимизация

АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫУчет сетевого, Web и Identity контекста

ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗПоведенческий анализ

ОБНАРУЖЕНО

Изменение бизнес-моделей

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.11

В 2016 продажа

медицинских носимых

устройств достигнет

$100M ежегодно

90% автомобилей будет

подключено к Интернет к

2020

Больше облачных

сервисов используется,

чем известно ИТ

5–10x

14%Организаций получают

вредоносный код

через социальные

сети и Web-

приложения

МОБИЛЬНОСТЬ

ОБЛАКА

Мы вступаем в цифровую эпоху

Интернет

вещей

Цифровая

компания

Десктопы Бизнес-приложения

Сетевая инфраструктура

Так было в прошлом

Критическая инфраструктура(Amazon, Rackspace, Windows Azure и т.д.)

Бизнес-приложения(Salesforce, Marketo,DocuSign и т.д.)

Мобильные пользователи

Удаленные пользователи

Десктопы Бизнес-приложения

Сетевая инфраструктура

Что сегодня и завтра?

Что предлагает Cisco?

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.15

Гипотезы безопасности Cisco

Консалтинг Интеграци

я

УправлениеЗнание угроз ПлатформыВидимость

Операционный фокус Нехватка людей

+Цифровая эволюция

+

Требуются изменения в ИБ

CLUS: AMP

Data Center

Закрыта

сделка по

Sourcefire

Security

for ACI

RSAC: AMP

Everywhere

OpenAppID

2014 ASR

Global

Security Sales

Organization

Приобретена

Neohapsis

AMP Everywhere

Приобретена

ThreatGRID

Cisco ASA with

FirePOWER

Services

Security

and Trust

Organization

Managed

Threat

Defense

TalosIntegrated

Threat

Defense

2013 2015

Security

Everywhere

Закрыта

сделка по

OpenDNS

Последние инновации Cisco в области

безопасности

Приобретена

Portcullis

Приобретение

Lancope

Филиалы

ЛВСПериметр

АСУ ТП

ЦОД

Оконечные

устройства

Интеграция и максимальное покрытие от уровня сети до

оконечных устройств, от ЦОДов до облаков, от ЛВС до

промышленных сегментов

– ДО, ВО ВРЕМЯ и ПОСЛЕ

Облака

Повсеместная безопасность

Сетевые ресурсыПолитика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция

угроз

Гостевой доступ

Ролевой доступ

Идентификация,

профилирование и

оценка состояния

Кто

Соответствие

нормативам

Что

Когда

Где

Как

Повсеместно означает также и интеграцию между

решениями Cisco

ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом

контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным

Дверь в

сеть

Физическая или

виртуальная

машина

Контекстконтроллер

ISE pxGrid

Интеграция с Cisco Mobility Services Engine (MSE)

Авторизация на основе местоположения

Администратор определяет

иерархию местоположения и

предоставляет пользователям

конкретные права доступа на

основе их местоположения.

Преимущества

Что нового в ISE 2.0?

Интеграция платформы Cisco Mobility

Services Engine (MSE) позволяет

администраторам максимально

использовать ISE для авторизации

сетевого доступа на основе

местоположения пользователя.

Улучшенная реализация

политики

с помощью автоматического

определения местоположения и

повторной авторизации

Упрощенное управление

благодаря настройке авторизации

с помощью инструментов

управления ISE

Детализированный контроль

сетевого доступа с помощью

авторизации на основе

местоположения для отдельных

пользователей

Возможности

• Конфигурация иерархии местоположений по всем объектам местоположения

• Применение атрибутов местоположения MSE в политике авторизации

• Периодическая проверка MSE на предмет изменения местоположения

• Повторное предоставление доступа на основе нового местоположения

Холл Палата Лаборатория Скорая

помощь

Врач

Нет доступа

к данным

пациента

Доступ к

данным

пациента

Нет доступа

к данным

пациента

Доступ к

данным

пациента

Данные

пациентаМестоположения для

доступа к данным

пациента

Палата

Скорая помощь

Лаборатория

Холл

Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы —

8 новых партнеров pxGrid

Что нового в ISE 2.0?

Структура pxGrid позволяет Cisco

интегрироваться с партнерами

экосистемы для предоставления

пользователям решения, которое

соответствует существующей

инфраструктуре.

Снижение затрат

Сокращение ресурсов, требуемых

для событий безопасности и сети,

благодаря упрощению доступа

к сети Cisco

Улучшенный мониторинг сети

Обеспечение мониторинга действий

пользователей и устройств в целях

аналитики и создание отчетов

о событиях

Преимущества

Упрощенное управление

Единое место для управления

политиками благодаря интеграции

ISE с решениями сторонних

производителей Новые партнеры ... войдут в экосистему быстрого сдерживания

распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать

политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации

серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы

безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и

расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать

такие сервисы ISE, как профилирование,

оценка состояния, гостевой доступ и

BYOD на устройствах сетевого доступа,

произведенных сторонними

производителями (не Cisco).

Повсеместно… Даже там, где еще нет Cisco. Пока нет

Преимущества

Что нового в ISE 2.0?

Систематическая защита

Развертывание платформы ISE на

всех сетевых устройствах, включая

сторонних производителей

Упрощение администрирования

Максимальное использование

заранее настроенных шаблонов

профилей для автоматического

конфигурирования доступа

устройств сторонних

производителей (не Cisco)

Увеличение ценности

Получение дополнительной

ценности на базе

существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

• Шаблон конфигурации MAB для определенных

устройств сторонних производителей (не Cisco)

• Перенаправление CoA and URL-адресов для

работы с ISE

• Устройства сетевого доступа сторонних

производителей (не Cisco) могут работать с

обычными стандартами 802.1x

Возможности

Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в

ISE 2.0

Профилирование

Оценка состояния

Гостевой доступ

BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco

AMP

Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS

CentOS, Red Hat

Linux

AMP on Web & Email Security AppliancesAMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance

(AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid

Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower

Services

Повсеместный AMP

AMP for Endpoints

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be

launched from AnyConnect

Повсеместный AMP Threat Grid

Подозрительны

й файл

Отчет

Периметр

ПК

Firewall

& UTM

Email

Security

Analytics

Web

Security

Endpoint

Security

Network

Security

3rd Party

Integration

S E C U R I T

Y

Security

monitoring

platforms

Deep Packet

Inspection

Gov, Risk,

Compliance

SIEM

Динамический анализ

Статический анализ

Threat Intelligence

AMP Threat Grid

Решения Cisco по ИБ Другие решения по ИБ

Подозрительный

файл

Premium

content feedsSecurity Teams

Повсеместно… с учетом жизненного цикла атаки

Web

Filtering and

Reputation

Security

Intelligence

File Type

Blocking

Application

Visibility &

Control

Indicators of

CompromiseTraffic

Intelligence

File

ReputationCognitive

Threat

Analytics

XXX X

После

www.website.com

X

File

Retrospection

Мобильный

пользователь

Отчеты

Работа с логами

Управление

Удаленный офис

Allow Warn BlockPartial

BlockОсновной офис

ASA/NGIPSAMP

ApplianceWSA ESA

AMP for

EndpointsАдмин

Перенап

равление

трафика

Угрозы

HQ

File

Sandboxing

X

Пример: Cisco Advanced Malware Protection

Web

FilteringCloud Access

Security

Web

ReputationApplication

Visibility and

Control

Parallel AV

ScanningData-Loss

Prevention

File

Reputation

Cognitive

Threat

Analytics*

XX X X

ДоПослеВо время

X

File

Retrospection

www

Мобильный

пользователь

Отчеты

Работа с логами

Управление

Удаленный офис

www www

Allow Warn Block Partial BlockОсновной офис

WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client АдминПеренаправл

е-ние

трафика

www

HQ

File

Sandboxing

X

Client

Authentication

Technique

* Roadmap feature: Projected release 2H CY15

XCisco® ISE

Пример: Cisco Web Security Appliance

www

Mobile UserУдаленный офис

www www

Allow Warn Block Partial BlockОсновной офис

ASA StandaloneWSA ISR G2 AnyConnect® АдминПеренаправ

ление

трафика

www

HQ

ДоПослеВо время

File

Retrospection

File

Sandboxing

Webpage

Outbreak

Intelligence

ISR 4k

Отчеты

Работа с логами

Управление

X

Web

Reputation

and Filtering

SaaS

Anomaly

Detection

X

File

Reputation

X

Anti-Malware

Cognitive

Threat

Analytics

X

SaaS Visibility

CAS

CAS

X

Cloud Data

Loss

Prevention

CAS

Application

Visibility

and Control

Мобильный

пользователь

X

SaaS

Anomaly

Detection

www.website.

com

AMP AMP TG CTA

Пример: Cisco Cloud Web Security

Наша программа на Cisco Connect

Промышленные сети

Бизнес-приложения(Salesforce, Marketo,DocuSign и т.д.)

Мобильные пользователи

ЦОД

Десктопы Бизнес-приложения

Критическая инфраструктура

О чем мы будем говорить на Cisco Connect?

Михаил Кадер

Руслан Иванов

Михаил Кадер

Алексей Лукацкий

Оператор связи

Назим Латыпаев

Алексей Лукацкий

Руслан Иванов

Станислав Рыпалов

Оксана Санникова

Алексей Лукацкий

Назим Латыпаев

Алексей Лукацкий

Cisco Cloud Access Security

И не сможете использовать

почту без защиты

? ??

? ?

??

??? ?

Вы должны защитить их

Вы не сможете работать

без электронной почтыКогда вы внедряете

облачные приложения

Каждый раз, внедряя новую технологию,

необходимо обеспечивать ее защиту

Облачные приложения становятся неотъемлемой

частью бизнеса

Как осуществляется их защита?

Удаленный доступ

Оперативность и скорость

Улучшенное взаимодействие

Увеличение продуктивности

Экономичность

Утечка конфиденциальных

данных

Риски

несоответствия

правовым нормам

Риск

инсайдерских

действий

Вредоносное ПО

и вирусы

Понимание рисков, связанных с облачными

приложениями, для вашего бизнеса

Это проблема, так как ваш ИТ-отдел:

• Не видит, какие используются приложения

• Не может идентифицировать опасные приложения

• Не может настроить необходимые средства

управления приложениями

сотрудников признают, что используют неутвержденные приложения1

72%ИТ-отделов используют 6 и более неутвержденных приложений2

26% корпоративной ИТ-инфраструктуры в 2015 году будет

управляться вне ИТ-отделов

35%

«Теневые» ИТИспользование

несанкционированных

приложений

Источник: 1CIO Insight; 2,3Gartner

Понимание рисков использования данных в

облачных приложениях

Это проблема, так как ваш ИТ-отдел:

• Не может остановить утечку данных и устранить

риски несоблюдения нормативных требований

• Не в состоянии заблокировать входящий

опасный контент

• Не в силах остановить рискованные действия

пользователей

организаций сталкивались с утечкой конфиденциальных данных при совместном

использовании файлов1

90% приложений могут стать опасными при неправильном

использовании2

72% файлов на каждого пользователя открыто используется

в организациях3

185

«Теневые» данныеИспользование санкционированных

приложения для неправомерных целей

Источник: 1Ponemon, 2013 Cost of Data Breach

Study;2CIO Insight; 3Elastica

Payroll.docx

Пользователи свободно обмениваются информацией и

это может привести к нарушениям безопасности

Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных

приложений и «теневых» данных

При использовании облачных

приложений ИТ-отдел не может

контролировать все разрешения

на совместное использование

20% совместно

используемых файлов

содержит данные,

связанные с соблюдением

нормативов

Бизнес

В вопросах защиты своей информации не

полагайтесь на поставщиков приложений

Поставщики приложений

Облачные

приложения

75% мобильных приложений не прошли базовые

тесты безопасности1

... и они не могут контролировать поведение

пользователей

Источник: 1: Gartner

Бизнес

Обеспечение безопасности облачного доступа —

это ваша ответственность

Поставщики приложений

Облачные

приложения

CAS обеспечивает мониторинг, управление и

защиту на всем протяжении атаки

Аудит

Определение

облачных

приложений и

служб,

используемых

сотрудниками

Расследование

Изучение вторжений

для изоляции

уязвимостей в системе

безопасности

Обнаружение

Определение

облачного трафика,

являющегося

причиной

вредоносного

поведения

И многое другое .......

До Во время После

Жизненный цикл атаки

Прил

ож

ения д

ля

об

еспече

ния

безо

пасности

Мини-

прогр

ам

мы

Securle

t

CA

SB

Мини-программы Securlet

Отдельные приложения обеспечения безопасности, предоставляющие преимущества

всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS,

а не для всей облачной экосистемы.

Шлюз CASB

Подключение к шлюзу Elastica для получения дополнительных

данных об определенных облачных службах и реализации

встроенной политики

Защита

Защита

предприятия путем

создания и

реализации

индивидуальных

политик

ЗащитаОбнаружениеАудит Расследование

Оценка

аудита

Оценка рисков

«теневых» ИТ

ЗащитаStreamIQ ThreatScore

Контроль и

анализ

Securlet

Шлюз

Оценка

рисков

«теневых»

данных

Мини-программы Securelet Шлюз Elastica

И многое другое .......

Перенаправление трафика через систему Cisco

Cloud Access Security

CAS предоставляет платформу обеспечения

безопасности облачных приложений

Шлюз CAS(прозрачный мониторинг)

РАССЛЕДОВАНИЕ инцидентов и

реагирование

Политика

API-интерфейсы облачных

приложений(<1 мин для внедрения)

Журналы межсетевых

экранов и прокси-серверовASA, WSA, CWS и других

АУДИТ всех «теневых» ИТ и данных

CAS

CloudSOC™

Несколько источников

входящего трафика

Стек платформы обеспечения безопасности

облачных приложений CAS

Все категории данных

анализируются на одной

платформе данных

ЗАЩИТА благодаря детализированному

контролю применения политик для

каждого приложения

ОБНАРУЖЕНИЕ вторжения и эксплойтов

в облачных приложениях

ISE pxGrid

Отчет оценки рисков

«теневых» ИТ

Business

Readiness Rating™

Оценка аудита

Оценка рисков «теневых»

данных

Посл

е

StreamIQ™

ThreatScore™

ContentIQ™

Отчетность

и аналитика

Cisco Cloud Access Security

Облачные

приложения? ?

???? ?

IO IOI

IO IOI

ЗащитаIO IOI

IO IOI

Облачная

политика SOC IO IOI

IO IOI

?

5417

IO IOI

IO IOI

?

?

IO IOI

Аудит

Обнаружение

?

Рассле-

дование

WSA

До

Во

вре

мя

CAS CloudSOC™

Другие

устройства

ASA

Совместно с

Данные Учетная запись Пользователь

Центр

управления

безопасностьюАнализ

и контроль

Securlet™ Шлюз

OpenDNS

Недостаток квалифицированных

специалистов в сфере безопасности

Для многих средств требуется

больше ресурсов, чем

имеется для выполнения

работы

50% компьютеров —мобильные

70% офисов — удаленные

Большинство мобильных и удаленных

сотрудников не всегда включают

VPN, большинство филиалов не

обеспечивают обратный транзит

трафика, а большая часть новых

оконечных устройств только

обнаруживают угрозы

70-90% вредоносного ПО уникально для каждой

организации

Средства на основе сигнатур,

реактивный интеллектуальный

анализ угроз и отдельное

применение политик безопасности

не могут опередить атаки

Общие проблемы безопасности

3 подхода к защите мобильных пользователей

может требовать

дополнительной экспертизы и

ресурсов

Обнаруживать IOCs &аномалии в системной

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может потребовать от

пользователей изменения

поведения и может быть

сложным во внедрении

Изолировать приложения & данные

в гипервизоре/контейнерах

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может обеспечить лучшую

видимость и блокирование *если*

есть возможность блокировать по

любому порту, протоколу или

приложению

Предотвращать соединения в Интернет-

активности

0 1 0 1 1 1 1 0 1 1 1

0

1 1 0 0 1 1 0 0 0 0 1

1

1 0 1 1 1 0 1 0 0 0 0

1

0 0 0 1 1 0 0 0 0 0 1

0

0 1 0 0 0 0 1 0 0 1 0

0

OpenDNS: эволюция бизнес-модели

Безопасный

Образование

Прогнозирование Расширенная защита

За пределамипериметра

Быстрый

домашнихюзеров

ПРОДУКТЫ И ТЕХНОЛОГИИ

UMBRELLAПрименение Служба сетевой безопасности защищает любое устройство, в любом месте

INVESTIGATEАналитикаОбнаружение и прогнозирование атак до того, как они происходят

208.67.222.222

MALWARE

BOTNET

PHISHING

Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет

Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs

Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире

Расследование атак, используя «живую» карту Интернет-активности

OpenDNS UMBRELLA

Уникальная аналитика для классификации

Анализ

Статистические модели и человеческий

интеллект

Идентификация

вероятно вредоносныхсайтов

Захват

С миллионов точек данных за секунды

a.ru

b.cn

7.7.1.3

e.net

5.9.0.1

p.com/jpg

DNS запросов в день

80BBGP пиринговых партнеров

500

Ежедневно использующих пользователей

65MКорпоративных заказчиков

10K

Масштаб имеет значение

Предотвращение угрозНе просто обнаружение угроз

Защита внутри и вне сетиНе ограничивается устройствами, передающими трафик через локальные устройства

Интеграция с партнерским и пользовательским ПОНе требует услуг профессионалов при настройке

Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443

Постоянное обновлениеУстройству не нужно обращаться к VPN на локальном сервере для получения обновлений

UMBRELLAПрименение политик

Новый уровень защиты от вторжений

ИНТЕРНЕТ

ВНУТРИ СЕТИ

ВЕСЬПРОЧИЙТРАФИК

ВЕБ-ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ

ПОЧТЫ

ИНТЕРНЕТ

ВЕСЬПРОЧИЙТРАФИК

ВЕБ-ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ

ПОЧТЫ

ВНЕ СЕТИ

ASAблокировка в сети по IP-адресу, URL -адресу или пакету

ESA/CESблокировка

по отправителю или контенту

WSA/CWSблокировка по URL-адресу или контенту через прокси-сервер

ESA/CESблокировка

по отправителю или контенту

CWSблокировка по URL-адресу или контенту через прокси-сервер

Umbrellaблокировка по доменуа также по IP-адресу или URL -адресу

Umbrellaблокировка по доменуа также по IP-адресу или URL -адресу

Место Umbrella в инфраструктуре Cisco

Как Umbrella дополняет AMP

Через различные технологии & оба

защищают на уровне IP

Туннели на клиенте блокируют

некоторые соединения с DNS в

облаке, а AMP фиксирует

соединения & блокирует соединения

на устройстве

*Клиент получает обновления IP-списка

каждые 5 мин, а AMP получает IP-списки

ежедневно

Cisco AMP Connector защищает на уровне

файлов

облачная репутация будет

блокировать & помещать в

карантин вредоносные файлы на

лету и в ретроспективе

*email-вложения обходят OpenDNS, а

не-файловые web-эксплойты обходят

AMP

OpenDNS клиент защищается на уровне

DNS

перед установкой IP-соединения &

часто перед загрузкой файлов. Мы

также блокируем вредоносные

домены

*DNS–запросы, использующие не-HTTP,

будут обходить AMP

DNS

Компрометация системы Утечка данных

IP DNS IPФАЙЛ

Интеграция на базе API

АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ

ПЛАТФОРМЫ АНАЛИЗА УГРОЗ

Другие+

СВОИ+

Индикаторы

компрометации

ОБНАРУЖЕНИЕ УГРОЗ

Другие+

UMBRELLAEnforcement & Visibility

Логи или заблокированные

домены отправляются из систем партнеров или

заказчиков

Живая карта DNS запросов и других контекстных данных

Корреляция и статистические модели

Обнаружение & прогнозирование вредоносных доменов

Интеграция данных ИБ с глобальной информацией

Console API

OpenDNS INVESTIGATE

INVESTIGATE

WHOIS record data

ASN attribution

IP geolocation

IP reputation scores

Domain reputation scores

Domain co-occurrences

Anomaly detection (DGAs, FFNs)DNS request patterns/geo. distribution

Passive DNS database

Типы предоставляемой информации

ЗАКАЗЧИК

СООБЩЕСТВОЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ

AMP Threat Grid

UMBRELLAПрименение политик и мониторинг

Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты

Регистрация или блокировка всей

Интернет-активности, предназначенной для этих доменов

файлы домены

Интеграция AMP Threat Grid и OpenDNS

OpenDNS Umbrella

OpenDNS InvestigateOpenDNS Investigate

опережение будущих атак

с помощью блокировки

вредоносных доменов,

IP-адресов и ASN

блокировка обратных вызовов

и утечки с любого порта, протокола

или приложения

на уровне DNS и IP

анализ угроз на основе

запросов в реальном времени

всех доменов и IP-адресов

в Интернете

ДООбнаружение

Внедрение

политик

Усиление

ПОСЛЕОпределение

масштаба

Сдерживание

Восстановление

Обнаружение

Блокировка

Защита

ВО ВРЕМЯ

ЖИЗНЕННЫЙ ЦИКЛ АТАКИ

OpenDNS поддерживает весь жизненный цикл

атаки

А если я маленький, но хочу

OpenDNS? Используйте Cisco Threat

Awareness Service

Изменение

бизнес-моделей

Сложность и

фрагментация

Динамика

ландшафта угроз

Производителей

средств защиты

на RSA

Возросла

потребность в

кадрах ИБ

373 12x

Среднее число вендоров

у корпоративного

заказчика

50

Сложность ЛюдиФрагментаци

я

Инвестиции в средства защиты растут. Но

средства защиты не взаимодействуют

Обеспечивает взгляд на угрозы,

исходящие из своей компании, и

направленной на нее

Постоянно отслеживает новые угрозы

Предлагает меры нейтрализации

Доступная всегда, каждый день

Проста в настройке и использовании

Это важно для сохранения сети в

безопасности

Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness Service

Cisco® Threat Awareness Service это портальный, сервис

анализа угроз, который расширяет видимость угроз и

является доступным 24-часа-в-сутки.

• Использование одной из лучших в мире баз данных угроз

• Оперативное обнаружение вредоносной

активности

• Идентификация скомпрометированных сетей и

подозрительного поведения

• Помогает компаниям быстро идентифицировать

скомпрометированные системы

• Обеспечение рекомендаций

• Помогает ИТ/ИБ идентифицировать угрозы

• Анализирует сетевой, исходящий из организации

• Позволяет улучшить общую защищенность

Cisco Threat Awareness Service

Базируясь на технологиях Cisco, сервис Threat Awareness

Service не требует:

• Капитальных вложений

• Изменений конфигурации

• Сетевых инструментов

• Новых внедрений ПО

• Сенсоров в сети заказчика

• Дополнительных людских ресурсов

Снижение времени внедрения, сложности,

и цены с ростом эффективности threat intelligence

А если я большой, но людей все

равно не хватает? Используйте Cisco

Active Threat Analytics

Услуги по безопасности

Optimization

Migration

Integration

Program Strategy

Architecture & Design

Assessments

Product Support Hosted Security Managed Security

Управляемые

услуги

Консалтинг Интеграция

Внешние услуги закрывают разрыв

С ростом скорости появления и вариативности угроз и нехватки

квалифицированных кадров, многие организации будут больше

полагаться на внешних поставщиков услуг для управления

рисками информационной безопасности

ПерсоналОценка

Автоматизация

/ Аналитика

Гибкие бизнес-

модели Гибкость

Политика приватности

Полный захват

пакетов /

Анализ

метаданных

пакетов

Cisco

Advanced

Threat

Detection Обнаружение

угроз в Web-

трафике

Нормализация

и проверка

данных

Обнаружение

угроз в

трафике Email

Обнаружение

вторжений

Автоматизация

локализации

Исследования

угроз и

уязвимостей

Расследования

сетевых

инцидентов

Фокусировка на отраслях

(например, производство,

финансы, промышленность)

24x7

мониторинг

Advanced Threat Analytics: компоненты

архитектуры

Сторона заказчикаЦОД заказчика

Заказчик A VRF

HTTP/HTTPS

Proxy

Inte

rne

t V

RF

Защищенное соединение

Passiv

e T

ap

/ I

nte

llig

en

t V

isib

ilit

y S

wit

ch

Dir

ect

Co

nn

ecti

on

Заказчик

HTTP Malware

Analysis

Email Malware

Analysis

Protocol Metadata

Forensics

Full-Packet

Forensics

Signature-Based

IDS

Protocol Anomaly

Detection

NetFlow / HTTP

Anomaly

Detection

Context

Repository

NetFlow

Aggregation

Telemetry

Aggregation

Access C

ontr

ol

VA Console

Malware

Console /

Sandbox

IME Console

Infrastructure

Monitoring

Authentication

Services

Firew

all

Firew

all

SMTP Services

SOC

Investigator I

Investigator II

Incident

Manager

Authentication

Services

Mg

mt

VR

F

Active Directory

Investigator

Portal

SO

C V

RF

Alerting /

Ticketing System

Customer Portal

Po

rta

l V

RF

Threat

Intelligence

Inte

l V

RF

Anomaly

Correlation

Cisco Cloud (DC)

Internet

1) Все данные сохраняются на стороне заказчика

2) Все ATA-устройстваработают в пассивном режиме, но в реальном времени

Threat Intelligence

Feeds

Обогащенные данные

ATA построена на базе OpenSOC

Full packet capture

Protocol metadata

NetFlow

Machine exhaust (logs)

Неструктурированная

телеметрия

Другая потоковая

телеметрия

Parse +

Format

Enrich

Alert

Log Mining and Analytics

Big Data Exploration,Predictive Modelling

Network Packet Mining

and PCAP Reconstruction

Приложения + аналитика

Интеграция с отечественными

разработчиками

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.74

Cisco Security API

OpenDNS API

MDM API

eStreamer API

Threat Grid API

ESA API ASAv/ASA API

ISIS API

Host Input APIRemediation API

Развитие интеграционных решений

Инфраструктура API

ДОПолитика и контроль

ПОСЛЕАнализ и

восстановлениеОбнаружение и блокирование

ВО ВРЕМЯ

Инфраструктура & Мобильность

NACУправление

уязвимостями

Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты

SIEMВизуализацияNetwork Access

Taps

Развитие NME-RVPN: доверенная платформа

UCS-EN

Доверенная платформа UCS-EN120SRU Производится в России

Поддерживается на Cisco ISR 29xx/39xx/4xxx

Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ:

СКЗИ S-Terra CSP VPN Gate

СКЗИ ViPNet Координатор

СКЗИ Dionis NX

МСЭ прикладного уровня Positive Technologies Application Firewall

СОВ ViPNet IDS

Базовый доверенный модуль (БДМ) Элвис+

TSS VPN

Ведутся работы и с рядом других российских разработчиков

Интеграция с PT MaxPatrol

• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности

• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFWи Cisco FirePOWER NGIPS

В заключение

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.79

Злоумышленники атакуют точечные решения с

возрастающей скоростью

NGIPS

MalwareSandbox

IAM

Antivirus

IDS

Firewall

VPN

Email

NGFW

Данные

Бездумная трата

денег на новинки

вместо того,

чтобы сесть и

подумать о

целостной

системе защиты

Данные

Злоумышленники атакуют точечные решения с

возрастающей скоростью

NGIPS

MalwareSandbox

IAM

Antivirus

IDSFirewall

VPN

Email

NGFW

Время обнаружения:

200 дней

Только интегрированная защита может идти в ногу с

угрозами

Данные

Systemic Response

Время обнаружения:

46 часов

А как же третий скакун?

20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.83

Не забудьте про «после» Cisco Connect 20

До Серия вводных презентаций в формате вебинаров,

посвященных различным аспектам и продуктам в области ИБ, которые будут проходить до конференции Cisco Connect

Во время Глубокие идеологические и архитектурные

презентации решений компании Cisco непосредственно на самой конференции CiscoConnect

После Детальные технические семинары по наиболее

важным продуктам и технологиям с учетом соответствия нормативным требованиям и задач бизнеса, предлагаемые вашему вниманию после конференции Cisco Connect

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом

#CiscoConnectRu

CiscoRu

Ваше мнение очень важно для нас!

Оцените, пожалуйста, презентацию

Спасибо

© 2015 Cisco and/or its affiliates. All rights reserved.